ELK SIEM foi adicionado recentemente à pilha elk na versão 7.2 em 25 de junho de 2019.
Esta é uma solução SIEM criada pela elastic.co para tornar a vida de um analista de segurança muito mais fácil e menos tediosa.
Na nossa versão do trabalho, decidimos criar nosso próprio SIEM e escolher nosso próprio painel de controle.
Mas achamos importante explorar primeiro o ELK SIEM.
1.1- Seção de eventos de hospedagem
Veremos primeiro a seção do host. A seção Host permitirá que você veja os eventos gerados no próprio endpoint.
Depois de clicar em visualizar hosts, você deverá obter algo assim. Como você pode ver, existem três hosts conectados a este computador:
1 Janelas 10.
2 Servidor Ubuntu 18.04.
Temos diversas visualizações exibidas, cada uma representando diferentes tipos de eventos.
Por exemplo, o do meio mostra os dados de login nas três máquinas.
Essa quantidade de dados que você vê aqui foi coletada durante cinco dias. Isso explica o grande número de logins malsucedidos e bem-sucedidos. Você provavelmente terá um pequeno número de registros, então não se preocupe
1.2- Seção de eventos de rede
Passando para a seção de rede, você deverá obter algo assim. Esta seção permitirá que você fique de olho em tudo o que acontece na sua rede, desde o tráfego HTTP/TLS até o tráfego DNS e alertas de eventos externos.
2- Painéis padrão
Para facilitar a vida dos usuários, os desenvolvedores do elastic.co criaram uma barra de ferramentas padrão com suporte oficial do ELK. Nossas batidas não foram exceção a essa regra. Aqui usarei os painéis padrão do Packetbeat como exemplo.
Se você seguiu a etapa dois do artigo corretamente. Você deve ter uma barra de ferramentas configurada esperando por você. Então vamos começar.
Na guia esquerda do Kibana, selecione o símbolo do painel. Este é o terceiro, se você contar de cima para baixo.
Digite o nome do compartilhamento na guia de pesquisa
Se houver vários módulos no bit. Um painel de controle será criado para cada um deles. Mas apenas aquele com o módulo ativo exibirá dados não vazios.
Selecione aquele com o nome do seu módulo.
Este é o modelo principal PacoteBeat.
Este é o painel de controle de fluxo da rede. Ele nos informará sobre os pacotes de entrada e saída, as fontes e destinos dos endereços IP e também fornecerá muitas informações úteis para um analista do centro de segurança.
3 — Criando seus primeiros dashboards
3–1- Conceitos Básicos
A- Tipos de painéis:
Estes são os diferentes tipos de visualizações que você pode usar para visualizar seus dados.
por exemplo temos:
Gráfico de barras
Mapa
Widget de redução
Gráfico de pizza
B-KQL (linguagem de consulta Kibana):
Esta é a linguagem usada no Kibana para facilitar a pesquisa de dados. Ele permite que você verifique se existem determinados dados e muitos outros recursos úteis. Para saber mais, você pode explorar as informações neste link
Este é um exemplo de consulta para encontrar um host executando o Windows 10 pro.
C- Filtros:
Este recurso permitirá que você filtre certos parâmetros, como nome do host, código ou ID do evento, etc. Os filtros melhorarão muito a fase de investigação em termos de tempo e esforço gastos na busca por evidências.
D- Primeira visualização:
Vamos criar uma visualização para MITRE ATT & CK.
Primeiro precisamos ir para Painel → Criar novo painel → criar novo → Painel circular
Defina o tipo do padrão de índice e toque no nome da sua batida.
Pressione Enter. Agora você deve ver um donut verde.
Na aba Buckets à esquerda você encontrará:
— Dividir fatias dividirá o donut em partes diferentes, dependendo da distribuição dos dados.
- Split Chart criará outro donut próximo a este.
Usaremos fatias divididas.
Visualizaremos nossos dados dependendo do termo que escolhermos. Neste caso, o termo se referirá a MITRE ATT & CK.
No Winlogbeat, o campo que nos fornecerá essas informações é denominado:
winlog.event_data.RuleName
Configuraremos uma métrica de contagem para ordenar os eventos com base no número de vezes que eles ocorrem.
Habilite o recurso “Agrupar outros valores em um segmento separado”.
Isto será útil se os termos escolhidos tiverem muitos significados diferentes com base no ritmo. Isso ajuda a visualizar o restante dos dados como um todo. Isso lhe dará uma ideia da porcentagem de eventos restantes.
Agora que terminamos de configurar a guia de dados, vamos para a guia de opções
Você deve fazer o seguinte:
**Remova o formato de rosca para que a renderização mostre um círculo completo.
**Escolha a posição da legenda que você gosta. Neste caso, iremos exibi-los à direita.
**Defina os valores de exibição para serem exibidos ao lado do snippet para facilitar a leitura e deixe o restante como padrão
O truncamento determina quanto você deseja exibir do nome do evento.
Defina a hora em que deseja que a renderização comece e clique no quadrado azul.
Você deve acabar com algo assim:
Você também pode adicionar um filtro à sua visualização para filtrar o host específico que deseja verificar ou quaisquer parâmetros que considere úteis para sua finalidade. A visualização exibirá apenas os dados que correspondem à regra colocada no filtro. Neste caso, exibiremos apenas os dados MITRE ATT&CK provenientes do host denominado win10.
3-2- Criando seu primeiro painel:
Um painel é uma coleção de muitas visualizações. Seus painéis devem ser claros, compreensíveis e conter dados úteis e determinísticos. Aqui está um exemplo dos painéis que criamos do zero para o winlogbeat.
Obrigado pelo seu tempo. Espero que você tenha achado este artigo útil. Se desejar mais informações sobre o tema, recomendamos que visite site oficial.